Cybersicherheit: Die Zukunft gehört der Risikobewertung

Ein Artikel von Gerrit Knichwitz, Geschäftsführer bei Perseus Technologies

Kürzlich fand der 19. deutsche IT-Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik statt. Ein wichtiges Themenfeld war die Cybersicherheit von kleinen und mittleren Unternehmen (KMU). Manuel Bach, Leiter des Referats „Cybersicherheit für KMU“ im BSI gibt an, dass nach wie vor die Mehrheit der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen katastrophal im Bereich Cybersicherheit aufgestellt seien. Etwa 90% dieser Unternehmen haben keine oder nur unzureichende Maßnahmen zur Abwehr von Cyberangriffen etabliert.

Mit Hinblick auf die sehr angespannte Cybersicherheitslage ist diese Feststellung besorgniserregend. Es zeigen sich jedoch auch positive Entwicklungen. Eine Umfrage des Gesamtverbands der Deutschen Versicherungswirtschaft e. V. (GDV) aus dem Jahr 2022 verdeutlicht, dass die Investitionsbereitschaft der KMU steigt. Mehr als die Hälfte der befragten Unternehmen ist bereit, mehr in die Schutzmaßnahmen gegen Cyberkriminalität zu investieren.

Welche Maßnahmen das konkret sein könnten, zeigt das Cybersicherheitsunternehmen Perseus. Befragt wurden über 1.000 Führungskräfte im Jahr 2022 zur Fragestellung, welche Dienstleistungen und Maßnahmen sie als sinnvoll erachten, um Cyberkriminalität zu bekämpfen. Zu den top drei Antworten zählten das frühzeitige Aufdecken von Sicherheitslücken (55%), regelmäßige Trainings, für Mitarbeitende (37%) und Risikoanalysen des eigenen Unternehmens (36%).

Das eigene Cybersicherheitsrisiko verstehen

Die Nachfrage nach Sicherheitsanalysen und Cyberrisikobewertungen ist demnach groß. Mithilfe dieser Analysen und Bewertungen werden gezielt bestehende Lücken aufgedeckt und Verbesserungspotenziale aufgezeigt. Das IT-Sicherheitsniveau von Unternehmen kann so individuell verbessert werden und die Wahrscheinlichkeit, Opfer eines Cyberangriffs zu werden, wird minimiert. Auch können die teilweise immensen negativen Auswirkungen eines Cyberangriffs wie der finanzielle Schaden, Datenverluste, Betriebsausfälle, Imageschäden oder Vertragsstrafen verhindert werden.

Um sicherzustellen, dass Risikoanalysen Unternehmen den gewünschten Mehrwert bringen, gilt es einige Themen zu beachten und einige Herausforderungen zu meistern.

Herausforderung: Falsches Sicherheitsgefühl

Paradoxerweise sind sich laut GDV zwar fast 80% der KMU in Deutschland der Bedrohung durch Cyberangriffe bewusst, aber nur knapp 40% erkennen das Risiko für das eigene Unternehmen. Als Grund geben die Unternehmen an, dass die Daten zu uninteressant seien oder das Unternehmen zu klein wäre, um ein Ziel für Cyberkriminelle zu sein. Kriminelle Hacker variieren jedoch in ihren Angriffsmustern und Motivationen, so dass diese Argumentation nicht gilt. Beispielsweise werden Unternehmen gezielt durch Spear-Phishing oder willkürlich in Form von Massen-Phishing-E-Mails angegriffen. Auch externe Faktoren wie Lücken in Software- und Hardware-Anwendungen oder Schwachstellen bei Geschäftspartnern sollten für das eigene Unternehmen nicht außer Acht gelassen werden. Hier werden den Bedrohungsakteuren Einstiegstore ohne eigenes Verschulden geboten.

Es empfiehlt sich daher für jedes Unternehmen, die eigene IT-Infrastruktur auf Schwachstellen analysieren zu lassen. Natürlich sind dabei technische Faktoren wie die richtige Konfiguration von Firewalls und Antivirenprogrammen ebenso relevant wie beispielsweise die Suche nach bestehenden Sicherheitslücken. Auch interne Prozesse wie ein funktionierendes und sicheres Passwort-, Backup- und Zugangsmanagement spielen eine tragende Rolle.

Herausforderung: Einmalige Analyse bringt oftmals nichts

Eine einmalige Risikoanalyse wird auf Dauer keine ausreichende Sicherheit bieten. Kein Bereich ist so dynamisch, innovativ und unvorhersehbar wie die Cybersicherheit. Was heute aktuell ist, gilt morgen bereits als überholt. Unternehmen sind daher angehalten, regelmäßig Risikoanalysen durchzuführen. Zumindest ein jährlicher Check-up ist empfehlenswert.

Herausforderung: Risikobewertung funktioniert nicht isoliert

Die Risikoanalyse sollte Teil einer ganzheitlichen Cybersicherheitsstrategie sein. Die aus einer Risikobewertung gewonnenen Erkenntnisse sollten ausgewertet, nach Prioritäten geordnet und umgesetzt werden. Kritische Sicherheitslücken sind umgehend anzugehen und zu schließen. Werden prozessuale Lücken festgestellt, ist es ratsam, diese durch neue Strukturen, Regelungen und Richtlinien zu schließen.

Gerade für Unternehmen, die bisher wenig in Cybersicherheit investiert haben, ist eine Analyse der eigenen IT-Sicherheit der ideale Ausgangspunkt, um sich intensiv mit dem Thema zu beschäftigen. Eine durch externe Dritte durchgeführte Analyse bewertet die Organisation völlig neutral und ermöglicht einen objektiven Blick auf den Status Quo. Solche Analysen werden oft auch von konkreten Hinweisen zur Behebung von Sicherheitslücken begleitet. Einmal umgesetzt, kann eine Vielzahl an Cyberbedrohungen abgewehrt werden.

Die Bedeutung von Risikobewertungen wird zunehmen

Zu einer ganzheitlichen Cyberstrategie gehört auch der Abschluss einer Cyberversicherung, um den finanziellen Schaden im Schadensfall aufzufangen und abzudecken. Im Durchschnitt liegen die Kosten eines Cyberangriffs im mittleren fünfstelligen Bereich. Im Jahr 2022 schrieb die Branche zum ersten Mal rote Zahlen. Seitdem sind die Cyberversicherungsunternehmen bei ihren Policen selektiver geworden. Beim Neukundengeschäft wird ein strenges Auswahlverfahren angewandt. Bei bestehenden Verträgen werden einige Policen nicht oder zu teureren Konditionen erneuert. Für diese Cyberversicherer ist eine ausgewogene Portfoliogestaltung unerlässlich, um langfristig profitabel zu arbeiten. Risikoanalysen sind ein wirksames Mittel, um das Portfolio auszubalancieren.

Die Politik verlangt ein hohes Maß an Cyberresilienz

Auch die Politik setzt sich für ein höheres Maß an Cyberresilienz und die Einhaltung bestimmter Standards und Mindestanforderungen ein. Für deutsche KMU bietet das BSI eine standardisierte Untersuchung des IT-Sicherheitsniveaus an. Auf EU-Ebene setzt die im Spätherbst verabschiedete NIS-2-Richtlinie neue Impulse im Bereich Cybersicherheit. Besonderes Augenmerk wird dabei auf Unternehmen gelegt, die zu kritischen und für Wirtschaft und Gesellschaft wichtigen Sektoren gehören. Dabei nimmt die NIS-2-Richtlinie auch KMU ab 50 Mitarbeitenden und einem Jahresumsatz von 10 Mio. in die Pflicht.

Die Mitgliedstaaten haben nun bis zum Herbst 2024 Zeit, die NIS-2-Richtlinie in nationales Recht umzusetzen und festzulegen, welche konkreten Maßnahmen gefordert werden. Risikobewertungen werden aber sicher ein Bestandteil sein.